Vitalik談Worldcoin：生物人格證明將如何重塑世界？

2023-07-25 16:07:39

原文標題： What do I think about biometric proof of personhood?

原文作者：Vitalik

原文編譯：倩雯，bayemon.eth， ChainCatcher

特別感謝 Worldcoin 團隊、Proof of Humanity 社區和 Andrew Miller 的討論。

以太坊社區的人們一直在努力構建一個去中心化的人格證明解決方案，這是一個比較棘手但可能是最有價值的小工具之一。人格證明（Proof of personhood），又稱唯一人問題，是一種有限的真實世界身份形式，它斷言一個給定的注冊账戶是由一個真實的人控制的（而且是一個與其他注冊账戶不同的真實的人），理想情況下可以不透露它是哪個真實的人。

在解決這一問題方面，已經有一些嘗試：例如，人格證明、 BrightID 、 Idena 和 Circles。它們中的一些都有自己的應用程序（通常是 UBI 代幣），還有一些在 GitcoinPassport 中被用來驗證哪些账戶在四元投票中是有效的。像 Sismo 這樣的零知識技術為許多此類解決方案增添了隱私性。最近，我們看到了一個規模更大、更雄心勃勃的身份證明項目的崛起：世界幣（Worldcoin）。

Worldcoin 由 SamAltman 共同創建，他因擔任 OpenAI 的首席執行官而聞名。這個項目背後的理念很簡單：人工智能將為人類創造大量的財富，但也可能會讓很多人失業。讓人們幾乎無法分辨誰是人類而不是機器人，因此我們需要通過以下方式來堵住這個漏洞：

（i）創建一個非常好的身份證明系統，這樣人類就可以證明自己確實是人類；

（ii）給每個人提供無息貸款。

Worldcoin 的獨特之處在於，它依賴於高度復雜的生物識別技術，使用一種名為 Orb 的專用硬件掃描每個用戶的虹膜：他們的目標是生產大量的 Orb，並在世界各地廣泛分發，將其放置在公共場所，讓任何人都能輕松獲得 ID。值得稱贊的是，Worldcoin 還承諾隨着時間的推移實現去中心化。起初，這意味着技術上的去中心化：成為以太坊上用 Optimism 堆棧的L2，並使用 ZK-SNARK 和其他加密技術保護用戶隱私。之後，還包括系統本身的去中心化治理。

Worldcoin 曾因 Orb 的隱私和安全問題、其代幣的設計問題以及該公司所做的一些道德選擇問題而受到批評。其中一些批評非常具體，主要針對該項目所做的決定，而這些決定本可以很容易地以另一種方式做出——事實上，世界幣項目本身可能也愿意改變這些決定。但也有人提出了更根本的問題，使用生物識別技術——不僅是世界幣的眼部掃描生物識別技術，還有更簡單的人臉視頻上傳和非機器人、Idena 中使的驗證遊戲——是否是個好主意。還有人批評所有的人格證明，認為風險包括不可避免的隱私泄露、人們匿名瀏覽互聯網能力的進一步下降專制政府的脅迫，以及在去中心化的同時實現安全的潛在不可能性。

這篇文章將討論這些問題，並通過一些論據來幫助你決定，在這位球形神的主面前俯首稱臣，掃描你的眼睛（或臉、聲音等）是否是個好主意，以及自然的替代方案——使用基於社交圖譜的人格證明或完全放棄人格證明——是否更好。

什么是人格證明，為什么它很重要？

最簡單的定義是：它創建了一個公鑰列表，系統保證每個公鑰都由唯一的人類控制。換句話說，如果你是人類，你可以把一個密鑰放在列表上，但你不能把兩個密鑰放在列表上，如果你是機器人，你不能把任何密鑰放在列表上。

人格證明之所以有價值，是因為它解決了許多人面臨的反詐騙和反權力中心化的問題，避免了對中央集權機構的依賴，並盡可能少地披露信息。如果人格證明問題得不到解決，去中心化治理（包括微治理，如對社交媒體帖子的投票）就更容易被非常富有的參與者（包括敵對政府）攫取。許多服務只能通過設定訪問價格來防止拒絕服務攻擊，而有時足以阻止攻擊者的高價格對許多低收入合法用戶來說太高了。

當今世界的許多主要應用軟件都通過使用政府支持的身份系統（如信用卡和護照）來解決這個問題。這雖然解決了問題，但卻在隱私方面做出了巨大的、也許是不可接受的犧牲，而且政府本身也會對其進行微不足道的攻擊。

鮮有人格證明支持者看到了我們面臨的雙面風險。

在許多人格證明項目中——不僅是世界幣，還有其他項目（ Circle 、BrightID、Idena）——旗艦應用是一個內置的 N-per-person 代幣（有時稱為 UBI 代幣）。每個在系統中注冊的用戶每天（或每小時，或每周）都會收到一定數量的代幣。但還存在很多其他應用：

代幣分發空投
代幣或 NFT 銷售，為不太富裕的用戶提供更優惠的條件
在 DAO 中投票
發展基於圖景（graph）的聲譽系統的方法
四元投票（以及資金和注意力支付）
防範社交媒體中的機器人/假人攻擊
防止 DoS 攻擊的驗證碼替代方案

在許多這些案例中，共同點是希望建立开放和民主的機制，避免項目運營商的中心化控制和最富有用戶的支配。後者在去中心化管理中尤為重要。在許多情況下，現有的解決方案都依賴於以下兩方面的結合：

（1）高度不透明的人工智能算法，這種算法有很大的空間來對運營商根本不喜歡的用戶進行難以察覺的歧視；

（2）中心化的身份證明，又稱 KYC。

有效的身份證明解決方案將是更好的替代方案，既能實現這些應用所需的安全屬性，又沒有現有中心化方法的缺陷。

早期有哪些證明人格的嘗試？

人格證明主要有兩種形式：基於社交圖譜的證明和生物識別證明。

基於社交圖譜的人格證明依賴於某種形式的擔保：如果愛麗絲、鮑勃、查理和大衛都是經過驗證的人類，而且他們都說艾米麗是經過驗證的人類，那么艾米麗很可能也是經過驗證的人類。擔保通常通過激勵措施來加強：如果愛麗絲說艾米麗是人類，但事實證明她不是，那么愛麗絲和艾米麗可能都會受到懲罰。生物特徵人格證明涉及驗證艾米麗的某些身體或行為特徵，以區分人類和機器人（以及人類個體之間的區別）。大多數項目都結合使用這兩種技術。

我在文章开頭提到的四個系統的工作原理大致如下：

人格證明：上傳一段自己的視頻，並提供押金。要獲得批准，需要一名現有用戶為你擔保，並需要一定的時間，在此期間可以對你提出質疑。如果出現質疑， Kleros 去中心化法庭將判定你的視頻是否真實；如果不真實，你將失去押金，質疑者將獲得獎勵。

BrightID：你與其他用戶一起參加視頻通話驗證聚會，在聚會上大家互相驗證。更高級別的驗證可通過 Bitu 進行，在該系統中，如果有足夠多的 Bitu 驗證用戶為你擔保，你就能通過驗證。

Idena：你在一個特定的時間點玩一個驗證碼遊戲（以防止人們多次參與）；驗證碼遊戲的部分內容包括創建和驗證驗證碼，然後用這些驗證碼來驗證其他人。

Circles：現有的圈子用戶為你擔保。Circles 的獨特之處在於，它並不試圖創建一個全球可驗證的 ID；相反，它創建了一個信任關系圖，在這個圖中，只能從你自己在圖中的位置來驗證某人的可信度。

每個 Worldcoin 用戶都會在自己的手機上安裝一個應用程序，該程序會生成一個私人和公共密鑰，就像以太坊錢包一樣。然後，他們親自去訪問一個 Orb。用戶盯着 Orb 的攝像頭，同時向 Orb 展示由 Worldcoin 應用程序生成的二維碼，其中包含他們的公鑰。Orb 會掃描用戶的眼睛，並使用復雜的硬件掃描和機器學習分類器進行驗證以下兩件事：

1）用戶是真人

2）用戶的虹膜與之前使用過系統的任何其他用戶的虹膜不一致

如果兩次掃描都通過，則 Orb 會籤署一條信息，批准用戶虹膜掃描的專門散列值。哈希值會被上傳到一個數據庫中（目前是一個中央服務器），一旦確定哈希值機制有效，它們就會被去中心化的鏈上系統取代。系統不會存儲完整的虹膜掃描結果，只會存儲哈希值，這些哈希值用於檢查唯一性。從那時起，用戶就有了一個世界 ID。

世界 ID 持有者可以通過生成 ZK-SNARK 來證明自己是獨一無二的人類，該 ZK-SNARK 證明他們持有與數據庫中的公开密鑰相對應的私鑰，而不會泄露他們持有的密鑰。因此，即使有人重新掃描你的虹膜，也無法看到你的任何操作。

Worldcoin 建設的主要問題是什么？

四大風險：

l 隱私。虹膜掃描注冊表可能會泄露信息。如果其他人掃描了你的虹膜，他們可以將其與數據庫進行核對，以確定你是否擁有世界身份證。虹膜掃描可能會泄露更多信息。

l 可訪問性。如果有足夠多的 orb，否則無法實現每個人都能可靠地訪問世界 ID 是。

l 中心化。Orb 是一個硬件設備，我們無法驗證它的構造是否正確，是否有後門。因此，即使軟件層是完美的，完全去中心化的，世界幣基金會仍然有能力在系統中插入一個後門，讓它任意創建許多虛假的人類身份。

l 安全性。用戶的手機可能會被黑客入侵，用戶可能會被脅迫掃描虹膜，同時出示屬於他人的公鑰，還有可能通過3D打印假人，讓他們通過虹膜掃描，獲得世界身份證。

重要的是要區分（i）Worldcoin 的選擇所特有的問題、（ii）任何生物識別的人格證明都不可避免會有的問題，以及（iii）任何一般的人格證明都會有的問題。

例如，注冊人格證明意味着在互聯網上公布你的臉。加入 BrightID 驗證派對雖然不會完全公布的你的臉，但仍會向很多人暴露你的身份。而加入 Circles 則會公开你的社交圖譜。

相比之下，Worldcoin 在保護隱私方面要好得多。另一方面，世界幣依賴於專門的硬件，這就帶來了信任球體制造商正確制造球體的挑战--這一挑战在人格證明、BrightID 或 Circles 中都不存在。甚至可以想象，在未來，除了世界幣之外，還會有人創造出不同的專用硬件解決方案，並做出不同的權衡。

生物識別的人格證明方案如何解決隱私問題？

任何個人身份證明系統最明顯、也是最大的潛在隱私泄露是將一個人的每個行為與真實世界的身份聯系起來。這種數據泄露非常嚴重，可以說嚴重到令人無法接受的地步，但幸運的是，零知識證明技術很容易解決這個問題。

用戶不需要直接用私鑰（其對應的公鑰就在數據庫中）進行籤名，而是可以用 ZK-SNARK 證明他們擁有私鑰，而其對應的公鑰就在數據庫中的某個地方，同時又不會泄露他們擁有的具體私鑰。這可以通過 Sismo 等工具來實現（人格證明的具體實現見此處），世界幣也有自己的內置實現。在此，我們有必要為加密原生的人格證明點個贊：他們確實很重視採取這一基本步驟來提供匿名化，而基本上所有的中心化身份解決方案都沒有做到這一點。

更微妙但仍很重要的隱私泄露是生物特徵掃描的公开登記。就人格證明而言，這就是大量數據：你會得到每個人格證明參與者的視頻，讓世界任何有心調查人格證明參與者的人都一清二楚。而在世界幣中，泄漏的數據要有限得多：Orb 只在本地計算並公布每個人虹膜掃描的哈希值。這個哈希值並不是像 SHA 256 那樣的常規哈希值，而是一種基於機器學習的 Gabor 過濾器的專門算法，用於處理任何生物識別掃描中固有的不精確性，並確保對同一個人的虹膜進行的連續哈希值具有相似的輸出。

藍色：同一個人的兩次虹膜掃描結果不同的比特百分比。

橙色：兩個不同人的虹膜兩次掃描結果的差異比特百分比。

這些虹膜哈希值只會泄露少量數據。如果對手可以強行（或祕密）掃描你的虹膜，那么他們就可以自己計算出你的虹膜哈希值，並將其與虹膜哈希值數據庫進行核對，以確定你是否參與了該系統。這種檢查某人是否注冊的功能對於系統本身來說是必要的，可以防止人們多次注冊，但這種功能總是有可能被濫用。

此外，虹膜哈希值有可能會泄露一定量的醫療數據（包含性別、種族，也許還有醫療條件），但這種泄露遠遠小於目前使用的幾乎所有其他大規模數據收集系統（例如，甚至街頭攝像頭）所能捕捉到的數據。

總的來說，在我看來，存儲虹膜哈希值已經足夠保護隱私了。如果其他人不同意這一判斷，並決定要設計一個隱私性更強的系統，有兩種方法可以做到這一點：

1）如果可以改進虹膜散列算法，使同一個人的兩次掃描之間的差異大大降低（例如，比特翻轉可靠地低於 10% ），那么系統就可以為虹膜散列存儲較少的糾錯比特，而不是存儲完整的虹膜散列（參見：模糊提取器）。如果兩次掃描的差異低於 10% ，那么需要公布的比特數至少會減少 5 倍。

2) 如果我們想更進一步，可以將虹膜哈希數據庫存儲在多方計算（MPC）系統中，該系統只能由 Orb 訪問（有速率限制），從而使數據完全不可訪問，但代價是管理多方計算參與者的協議復雜性和社會復雜性極大。這樣做的好處是，即使用戶愿意，也無法證明他們在不同時間擁有的兩個不同世界 ID 之間的聯系。

遺憾的是，這些技術並不適用於人格證明，因為人格證明要求公开每位參與者的完整視頻，以便在出現假視頻（包括人工智能生成的假視頻）的跡象時可以提出質疑，並在這種情況下進行更詳細的調查。

總的來說，盡管盯着 Orb 讓它深深地掃描你的眼球會有一種烏托邦式的感覺，但專門的硬件系統在保護隱私方面似乎確實可以做得很好。不過，這也從另一方面說明，專用硬件系統帶來了更大的中心化問題。因此，我們這似乎陷入了一個困境：我們必須在一種價值觀和另一種價值觀之間進行權衡。

生物識別身份證明系統有哪些可訪問性問題？

專業化硬件帶來了可訪問性問題，因為專業化硬件並不是很方便使用。目前，撒哈拉以南非洲地區約有 51% 至 64% 的人擁有智能手機，預計到 2030 年，這一比例將增至 87% 。但是，雖然全球有數十億部智能手機，卻只有幾百個 Orb。即使有更大規模的分布式制造，也很難實現每個人身邊五公裏內都有一個 orb 的世界。

值得注意的是，許多其他形式的人格證明都存在更嚴重的可訪問性問題。除非你已經認識社交圖譜中的某個人，否則很難加入基於社交圖譜的人格證明系統。這使得此類系統很容易局限於單一國家的單一社區。

即使是中心化式身份識別系統也吸取了這一教訓：印度的 AadhaarID 系統是基於生物識別技術的，因為只有這樣才能在避免大量重復和虛假账戶欺詐行為的同時，迅速吸納大量人口（從而節省了大量成本），當然，Aadhaar 系統作為一個整體，在隱私保護方面要比加密貨幣社區提出的任何大規模建議都要弱得多。

從可訪問性的角度來看，表現最好的系統實際上是像人格證明這樣的系統，你只需使用一部智能手機就可以注冊。

生物識別身份證明系統的中心化問題是什么？

1.系統高層管理中的中心化風險（特別是，如果系統中的不同參與者在主觀判斷上存在分歧，由系統做出最終的高層決議）。

2.中心化風險是使用專用硬件的系統所特有的。

3.如果使用專有算法來確定誰是真實的參與者，則存在中心化風險。

任何人格證明系統都必須與第（1）點做鬥爭，也許被接受的 ID 集完全主觀的系統除外。如果一個系統使用以外部資產（如以太坊、USDC、DAI）計價的激勵機制，那么它就不可能是完全主觀的，因此治理風險就變得不可避免。

第二個風險對世界幣來說比人格證明（或 BrightID）大得多，因為世界幣依賴於專門的硬件，而其他系統不需要。

第三個風險尤其存在於邏輯中心化的系統中，除非所有算法都是开源的，而且我們能保證它們確實運行着它們聲稱的代碼，否則由單一系統來進行驗證尤其具有風險。對於純粹依靠用戶驗證其他用戶的系統（如人格的證明）來說，這不是風險。

Worldcoin 如何解決硬件中心化問題？

目前，一個名為人類工具（Tools for Humanity）的世界幣附屬實體是唯一一個正在制造 orb 的組織。不過，Orb 的源代碼大部分是公开的：你可以在這個 github 存儲庫中看到硬件規格，源代碼的其他部分預計也將很快公布。該許可證是另一種共享源代碼，但四年後才算开源的許可證，類似於 UniswapBSL，除了防止分叉外，還防止他們認為不道德的行為——他們特別列出了大規模監控和三項國際公民權利宣言。

該團隊的既定目標是允許並鼓勵其他組織創建 Orb，並隨着時間的推移，從由人類工具創建 Orb 過渡到由某種 DAO 批准和管理哪些組織可以創建被系統認可的 Orb。

這種設計有個問題：

1）由於聯合協議中的常見陷阱，它可能最終無法真正實現中心化：長此以往，一家制造商最終會在實踐中佔據主導地位，導致系統再度回歸中心化。雖然治理機構可以限制每個制造商可以生產多少有效的 Orb，但這需要謹慎管理，而且這給治理機構帶來了很大的壓力，既要去中心化，又要監控生態系統並有效應對威脅。這比只處理頂層爭端解決任務的靜態 DAO 要難得多。

2）想確保這種分布式制造機制的安全性基本是不可能的，這裏存在兩種風險：

對不良 Orb 制造商極其脆弱的抵抗能力：哪怕只有一個 Orb 制造商是惡意的或是被黑客攻擊，它也可以生成無限數量的假虹膜掃描哈希值，並給他們提供 World ID。

政府對 Orb 的限制：不希望本國公民參與世界幣生態系統的政府可以禁止 Orb 進入本國。此外，他們甚至可以強迫公民進行虹膜掃描，讓政府獲取他們的账戶，而公民將無法申訴。

為了使該系統能夠更有效地抵御不良 Orb 制造商的攻擊，Worldcoin 團隊建議對 Orb 進行定期審核，以驗證制造過程是否正確，關鍵硬件組件是否按照規格制造，以及事後是否被篡改。這是一項具有挑战性的任務：它基本上類似於國際原子能機構（IAEA）的核檢查官機構，但針對的是 Orb。我們希望即便是在審計制度的實施不完善的情況下，也能大大減少假 Orb 的數量。

為了限制任何不良 Orb 成為漏網之魚並對系統造成的危害，有必要採取第二種緩解措施。即在不同的 Orb 制造商那裏注冊的 World ID 注冊可以有效區分的 Orb。如果這些信息是私密的，而且只存儲在 WorldID 持有者的設備上，那也沒有問題，只是確實要求其在必要時加以證明。這樣，生態系統就有可能應對（不可避免的）攻擊，並按需從白名單中刪除單個 Orb 制造商，甚至是單個 Orb。舉例來講，如果我們發現朝鮮政府到處強迫人們掃描眼球，這些 Orb 和由它們生成的任何账戶都會立即被追溯禁用。

人格證明普遍存在的安全問題

除了 Worldcoin 系統帶來的特有問題外，還有一些問題會影響到一般人格證明設計。我能想到的主要問題有如下幾個方面：

三維打印的假人：人們可以利用人工智能生成假人的照片或甚至三維打印的假人，其可信度足以讓 Orb 軟件接受。只要有這樣做的團體，他們就能生成無限多的身份。
出售 ID：有人可以在注冊時提供別人的公鑰，而不是自己的公鑰，讓別人控制自己注冊的 ID，從而換錢。這種情況似乎已經出現了，除了出售之外，還可能會出現租用 ID 的情況。
入侵手機：如果一個人的手機被黑客入侵，黑客就能竊取控制其 WorldID 的密鑰。
政府脅迫竊取身份證件：政府可以強迫公民在出示屬於政府的二維碼時進行驗證。這樣，惡意政府就能獲得數百萬個身份證。在生物識別系統中，這甚至可以暗中進行：政府可以使用混淆的 Orb，在海關驗證護照時從每個進入該國的人身上提取 World ID。

（1）是生物識別人格證明系統所特有的問題，（2）和（3）是生物識別和非生物識別設計的共同點。第（4）點也是兩者的共同點。盡管在這兩種情況下所需的技術大不相同，但在本節中，我將重點討論生物識別情況下的問題。

這些都是相當嚴重的問題，其中一些已經在現有協議中得到了妥善解決，另一些可以通過未來的改進來消除影響，還有一些似乎是根本性的限制。

如何處理3D打印假人帶來的問題？

對於 Worldcoin 來說，這種風險比對於類似人格證明的系統來說要小得多：與精心僞造的視頻相比，當面掃描可以檢查一個人的許多特徵，則很難僞造。專業硬件本身就比普通硬件更難欺騙，而普通硬件又比驗證遠程發送的圖片和視頻的數字算法更難欺騙。

最終會有人用 3D 打印出連專用硬件都能騙過的東西嗎？有可能。我預計，在未來某些時候，保證开放性和安全性之間的矛盾會越來越大：开源人工智能算法在本質上更容易受到對抗性機器學習的影響。黑盒算法受到的保護更多，但很難確保黑盒算法在訓練過程中沒有加入私密的惡意信息。或許，未來的 ZK-ML 技術能達到兩全其美，但另外一種角度來講，即使是最好的人工智能算法也有可能被最好的 3D 打印假人騙過。

如何防範 ID 出售？

在短期內，防止這種 ID 外流是很困難的，因為世界上大多數人甚至不知道身份證明協議，如果你告訴他們舉起一個二維碼，掃描一下眼睛就能得到 30 美元，他們肯定會照辦。一旦有更多人知道什么是身份證明協議，一個相當簡單的緩解措施就成為可能，即允許已注冊 ID 的人重新注冊，並取消之前的 ID。這樣一來，出售 ID 的可信度就會大大降低，因為把身份證賣給你的人可以直接去重新注冊，注銷剛剛賣給你的身份證。然而，要達到這一點，協議必須廣為人知，而 Orb 也必須非常容易獲取，才能使按需注冊成為現實。

這也是為什么將 UBI 硬幣整合到人格證明系統中很有價值的原因之一：UBI Coin 提供了一個易於理解的激勵機制，其一，可以讓人們了解協議並注冊，其二，如果他們代表他人注冊，則會立刻觸發重新注冊機制，同時重新注冊還能有效手機被黑客入侵。

我們能否防止生物識別身份證明系統中的脅迫行為？

這取決於我們談論的是哪種脅迫。可能出現的脅迫形式包括：

政府在邊境管制和其他例行的政府檢查站掃描人們的眼睛（或臉部，等等），並以此對公民進行登記，並經常重新登記。
政府在國內禁止使用 Orb，以防止人們獨立進行重新登記
個人購买 ID，然後威脅他人，如果自己的 ID 因重新登記而失效，就會傷害重新注冊的人
（可能是政府運營的）應用程序要求人們直接用自己的公鑰籤名登錄，讓他們看到相應的生物特徵掃描，從而看到用戶當前 ID 與重新注冊後獲得的任何未來 ID 之間的聯系。人們普遍擔心的是，這樣就很容易創造出伴隨人一生的永久記錄。

尤其是在不成熟的用戶手中，要徹底防止這些情況似乎相當困難。用戶可以離开自己的國家，在一個更安全的國家 Orb 上（重新）注冊，但這是一個艱難的過程，而且成本很高。在真正惡劣的法律環境中，尋找一個獨立的 Orb 太困難、太冒險了。

可行的辦法是讓這種濫用行為更難以實施和檢測。人格證明要求用戶在注冊時說一句特定的短語就是一個很好的例子：這可能足以防止隱蔽掃描，但要求脅迫行為更加明目張膽，而且注冊短語甚至可以包括一項聲明，確認受訪者知道他們有權獨立重新注冊，並可能獲得 UBI Coin 或其他獎勵。如果檢測到脅迫行為，用於執行大規模脅迫注冊的設備可能會被取消訪問權限。為了防止應用程序將人們當前和以前的 ID 聯系起來並試圖留下永久記錄，默認的身份證明應用程序可以將用戶的密鑰鎖定在可信硬件中，防止任何應用程序在沒有匿名 ZK-SNARK 層的情況下直接使用密鑰。如果政府或應用程序开發商想繞過這一點，就需要強制使用自己的定制應用程序。

將這些技術和對 ID 濫用的警惕性結合起來，鎖定那些真正有敵意的政權，並讓那些只是中庸的政權保持誠實（世界上很多地方都是這樣），似乎是有可能的。要做到這一點，可以由像 Worldcoin 或人格證明這樣的項目維持自己的官僚機構來完成，也可以通過披露更多關於 ID 如何注冊的信息（例如，在世界幣中，它來自哪個 Orb），並將這一分類任務留給社區來完成。

如何防範 ID 出租（如出售選票問題）？

重新注冊並不能阻止出租 ID。這在某些應用中是沒有問題的：出租領取當日 UBI Coin 權利的成本將僅僅是當日 UBI Coin 的價值。但在社區投票等應用中，出售選票則是個大問題。

像 MACI 這樣的系統可以防止你以可信的方式出售你的選票，允許你隨後再投一票，使你之前的投票無效，這樣就沒有人能知道你是否真的投了這樣一票。但是，如果有心之人控制了你在注冊時獲得的密鑰，這就無濟於事了。

我認為有兩種解決方案：

在 MPC 內部運行整個應用程序：這也涵蓋了重新注冊的過程，即當一個人向 MPC 注冊時，MPC 會分配給他一個獨立於其人格證明 ID 且不可與之關聯的 ID，當一個人重新注冊時，只有 MPC 知道該停用哪個账戶。這可以防止用戶對自己的行為進行證明，因為每一個重要步驟都是在 MPC 內部使用只有 MPC 才知道的私人信息完成的。
分布式注冊儀式：去中心化式注冊儀式。基本上，實施類似這種當面密鑰注冊協議，要求四名隨機抽取的本地參與者共同完成注冊。這可以確保注冊是一個可信的程序，攻擊者無法在注冊過程中進行窺探。

實際上，基於社交圖譜的系統在這方面可能表現得更好，因為它們可以自動創建存於本地的分布式注冊流程，這是其工作方式的副產品。

生物識別技術 v.s. 基於社交圖譜的驗證

除了生物識別方法外，迄今為止，證明個人身份的其他主要競爭者是基於社會圖譜的驗證。基於社會圖譜的驗證系統都基於同樣的原則：如果有一大堆現有的已驗證身份都證明了你身份的有效性，那么這種有效性成立，你也應該獲得驗證身份。

如果只有少數真實用戶（意外或惡意）驗證了虛假用戶，那么就可以使用基本的圖論技術，為系統驗證的虛假用戶數量設定一個上限。

基於社交圖譜的驗證的支持者通常將其描述為生物識別技術的更好替代品，原因有以下幾點：

它不依賴於特殊用途的硬件，因此更易於部署
它避免了3D假人制造商與 Orb 之間的長期軍備競賽
不需要收集生物識別數據，更有利於保護隱私
它可能對匿名更友好，因為如果有人選擇將自己的互聯網生活分割成多個相互獨立的身份，那么這兩個身份都有可能被驗證（但維持多個真實而獨立的身份會犧牲網絡效應，而且成本很高，所以攻擊者不容易做到這一點）。
生物識別方法給出的是“是人”或“不是人”的二元評分，這種方法很脆弱，因為不小心被拒絕的人最終根本無法獲得 UBI，也可能無法參與網絡生活。基於社會圖譜的方法可以給出一個更細致的數字分數，這當然可能對某些參與者略有不公，但不太可能讓某人完全無法參與網絡生活。

對於這些論點，我的觀點是基本贊同。這些都是基於社會圖譜的方法的真正優勢，應該認真對待。不過，基於社交圖譜的方法也有不足之處，這一點也值得考慮：

初始人脈關系：要加入基於社交圖譜的系統，用戶必須認識圖譜中的某個人。這就給大規模應用帶來了困難，並有可能將在初始引導過程中運氣不佳的整個地區排除在外。
隱私：雖然基於社交圖譜的方法可以避免收集生物識別數據，但最終往往會泄露一個人的社交關系信息，這可能會導致更大的風險。當然，零知識技術可以緩解這一問題（例如，請參閱 Barry Whitehat 提出的建議），但圖中固有的相互依賴關系以及對圖進行數學分析的需要，使其難以達到與生物識別技術相同的數據隱藏水平。
不平等：每個人只能擁有一個生物識別 ID，但一個社牛可以利用他們的關系生成許多 ID。從根本上說，基於社會圖譜的系統可以靈活地為真正需要該功能的人（如活動組織者）提供多個假名，這也可能意味着更有權勢、人脈更廣的人可以獲得比權勢、人脈更少的人更多的假名。
陷入中心化的風險：大多數人都懶得花時間向互聯網應用程序報告誰是真人，誰不是。因此，隨着時間的推移，該系統有可能會偏向於依賴中央機構的簡易入場方式，而系統用戶的社交圖譜將事實上成為哪些國家承認哪些人是公民的社交圖譜--為我們提供中央化的 KYC，但卻增加了不必要的額外步驟。

在現實世界中，人格證明與假名是否兼容？

原則上，人格證明可與各種假名兼容。應用程序可以這樣設計：擁有一個身份證明的人最多可以在程序中創建五個配置文件，以此為假名账戶留出空間，甚至可以使用二次公式，將 N 個账戶的成本為 N² 美元。但他們會這樣做嗎？

然而，悲觀主義者可能會說，試圖創建一種對隱私更友好的 ID 形式，並希望它能以正確的方式被採用，這種想法太不切實際了，因為當權者並不在意普通人的隱私安全。如果一個有權勢的人獲得了一種可以用來獲取更多個人信息的工具，他們必定就會這樣使用它。在這樣的世界裏，不幸的是，唯一現實的方法就是在阻止任何身份解決方案推行，以此捍衛一個完全匿名和高信任度的數字世界。

我深知這種方法的合理性，但我擔心即使這種方法成功，也會導致在這個世界上，任何人都無法採取任何行動來抵制財富中心化和治理集權，因為一個人總是可以冒充一萬個人。反過來，這種中心化也很容易被當權者握在手中。相反，我更傾向於一種溫和的方法，即我們大力提倡具有強大隱私性的人格證明解決方案，如果需要，甚至可以在協議層加入注冊 N 個帳戶成本為 N² 美元的機制，並創建一些具有隱私友好價值且有機會被外部世界接受的東西。

那么我的看法是，在不存在理想的人格證明方式的情況下，我們有三種不同的證明方法，它們都有各自獨特的優缺點，比較圖表如下：

我們最理想的做法是將這三種技術視為互補品，並將它們結合起來。正如印度的 Aadhaar 所顯示的那樣，專門的硬件生物識別技術具有大規模安全的優點，但它們在去中心化方面非常薄弱，不過這可以通過追究單個 Orb 的責任來解決。如今，通用生物識別技術已經達到大規模應用的程度，但其安全性正在迅速下降，並且未來的使用預期可能僅剩下 1-2 年。基於社交圖譜的系統僅靠幾百個與創始團隊關系密切的人就能啓動，但很對大部分地區而言需要在直接忽略或採用卻易受攻擊之間不斷權衡。然而，一個基於社交圖譜的系統，如果起源於數千萬生物識別 ID 持有者中，就能真正發揮作用。生物識別引導可能在短期內更有效，而基於社會圖譜的技術可能在長期內更穩健，並隨着算法的改進而能夠有更廣闊的應用前景。

一個可實現的混合解決方案

所有團隊都有可能犯很多錯誤，商業利益與更廣泛的社區需求之間也不可避免地存在緊張的衝突，因此我們必須保持高度警惕。作為一個社區，我們應當在开源技術方面推進至所有參與者的舒適區，將第三方進行審計、編寫軟件或進行其他制衡措施。我們還需要在這三類技術中各自都有更多的替代技術。

與此同時，我們也必須對已經完成的工作表示贊許：許多運行這些系統的團隊都表現出了他們對隱私的重視，比任何政府或大型企業運行的身份系統都要認真得多，這是我們應該發揚光大的美好品質。

要建立一個有效可靠的身份證明系統，尤其是由遠離並不處於加密社區的人負責的系統，似乎相當具有挑战性。我絕對不羨慕那些試圖完成這項任務的人，他們很可能需要數年的時間才能找到一個行之有效的方案。從原則上講，即便是各種實現方式都存在風險，但人格證明的概念仍然極其有價值。同時，完全不存在任何人格證明的世界依然無法避免風險：一個沒有人格證明的世界似乎更有可能是一個由中心化身份解決方案、貨幣、小型封閉社區或三者的某種組合所主導的世界。我期待看到各種類型的人格證明取得更多進展，並希望看到不同的方法最終匯聚成一個連貫的整體。